Grupo de Estudos em Direito e Tecnologia da Universidade Federal de Minas Gerais – DTEC - UFMG
Data: 05/04/2022
Relator: Thiago Dias de Matos Diniz
Aspectos particulares das ameaças e vulnerabilidades cibernéticas
Em ataques cibernéticos, costuma ser difícil identificar o agente de ameaça, dado que são utilizadas técnicas de mascaramento da origem e roteamento por máquinas maliciosamente tomadas (botnets), o que resultada no problema da atribuição. Se o alvo da retaliação permanece desconhecido, estratégias de dissuasão não se aplicam. Assim, a defesa contra armas cibernéticas deve concentrar-se na resiliência: recuperação rápida diante de um ataque bem-sucedido.
Diferentemente dos cenários de risco não cibernético (guerra, desastres ambientais, crise do sistema financeiro etc.), que exigem um grande tempo de resposta, incluindo contenção dos danos e recuperação, no caso de risco concretizado de ameaça cibernética, a cessação do contato com a ameaça – como em eventos de negação de serviço (DoS ou denial of service) –, a contenção dos danos ou a remediação de vulnerabilidade tendem a ser, conforme evidências históricas e das práticas da indústria, rápidos, uma vez identificada a fonte da ameaça ou a falha ou vulnerabilidade.
A internet foi concebida, desde o princípio, para ser resistente a falhas (por meio de roteamentos alternativos). Na maioria dos eventos de ameaça cibernética cujo risco foi concretizado, não há perda de ativos físicos. Entidades públicas e privadas que prestam serviços de grande relevância econômica operam com redundância de dados e planos de contingência. O transporte de dados mais críticos de uma perspectiva global ocorre por meio de redes segregadas, protocolos de segurança específicos e controle de acesso estrito.
Assim, o risco sistêmico de cyber segurança, relacionado a uma falha generalizada e prolongada de serviços essenciais, suportados pela infraestrutura de tecnologia da informação, é baixo.
Risco de segurança cibernética
Risco é um valor derivado que representa exposição a perda. Um conceito sintético de risco pode ser dado como: frequência provável e magnitude provável de uma perda futura. Fatores chave de risco de segurança cibernética são: ameaça (especialmente sua frequência e capacidade técnica), vulnerabilidade dos ativos de tecnologia da informação e magnitude da perda.
Assim como a ameaça cibernética tem suas particularidades, as vulnerabilidades de sistemas de informação também as têm. Vulnerabilidade é o grau de exposição de um ativo de informação a ameaças, determinado pela resistência que o ativo é capaz de lhes oferecer a partir de controles implementados.
Controles de segurança cibernética derivam, em última instância, de estratégias para a redução do prejuízo advindo de um evento de perda – financeira ou de vidas, por exemplo. Essas estratégias se concentram nas dimensões de prevenção ou detecção e resposta, cuja efetividade pode ser combinada para a redução do risco.
O entendimento da ontologia dos controles de segurança cibernética é essencial à compreensão dos fatores chave do risco correlato, a qual, por sua vez, é imprescindível para a atribuição jurídica de responsabilidade pela concretização desse risco.
Remédios para o risco de segurança cibernética
A evolução histórica da rede mundial de computadores foi acompanhada de uma transformação correlata nos cenários de risco cibernético, que se materializam com ênfase, atualmente, em domínios como computação em nuvem e internet das coisas. Os novos cenários de risco demandam novas formas de tratamento.
Um dos problemas para tratamento adequado do risco relacionado à segurança cibernética é a falta de visibilidade desse risco, decorrente especialmente do problema de estimar-se a perda correlata.
O endereçamento de risco de segurança cibernética deve se concentrar mais em processos subjacentes aos sistemas de informação e menos na implementação por si de controles de tecnologia especializada, a nível dos ativos, que se tornaram rotina comum, balizada por checklists.
Quanto mais tarde uma falha é identificada no ciclo de vida do desenvolvimento de software, maior seu impacto (custo de remediação). Assim, um cuidado com controles de segurança cibernética by design, desde a concepção do sistema, é um remédio de destacado custo-benefício, o que inclui práticas como utilização de arquitetura de referência (ex.: práticas de autenticação segura), observância aos princípios de desenvolvimento seguro e modelagem de ameaças.
Outros remédios de destaque são processos de verificação e controle de mudanças, gestão de acessos, gestão de vulnerabilidades e resposta a incidentes.
Bibliografia Base
SOMMER, Peter; BROWN, Ian. Reducing systemic cybersecurity risk. Organisation for Economic Cooperation and Development Working Paper No. IFP/WKP/FGS (2011), v. 3, 2011.
Bibliografia Complementar
ENISA. Compendium of Risk Management Frameworks with Potential Interoperability: Supplement to the Interoperable EU Risk Management Framework Report. Jan. 2022.
HUBBARD, Douglas; EVANS, Dylan. Problems with scoring methods and ordinal scales in risk assessment. IBM Journal of Research and Development, v. 54, n. 3, p. 2: 1-2: 10, 2010.
Yorumlar